SharePoint 報告及統計

 

適用於: Forefront Security for SharePoint

主題上次修改日期: 2008-02-27

Forefront Security for SharePoint 提供各種機制,協助系統管理員透過 [Sharepoint Forefront Server Security Administrator] 介面分析 Forefront Security for SharePoint Services 的狀態及效能。

不論捕捉到感染或執行篩選的掃描工作為何,事件資料庫 (Incidents.mdb) 都會包含 Microsoft® SharePoint 伺服器的所有病毒和篩選偵測。這些結果是由 FSCController 儲存在資料庫中,即使 Forefront Server Security Administrator 未開啟也不受影響。

若要檢視事件資料庫,請按一下快速導覽中的 [報告],然後按一下 [事件] 圖示。隨即出現 [事件] 工作窗格。

這是 Forefront Security for SharePoint 針對每一個事件所報告的資訊:

時間   事件的日期及時間。

狀態   Forefront Security for SharePoint 所採取的動作。

名稱   報告事件的掃描工作名稱。

資料夾   檔案所在的資料夾名稱。

檔案   符合檔案篩選或關鍵字篩選的病毒名稱或檔案名稱。

事件   發生的事件類型。類別包括:VIRUS 及 FILE FILTER。每一個類別後面都會加上捕捉到的病毒名稱或觸發事件的篩選名稱。

作者名稱   文件作者的名稱。

作者的電子郵件   文件作者的電子郵件地址。

最後修改   上一次修改文件的使用者名稱。

已修改使用者的電子郵件   上一次修改文件的使用者電子郵件地址。

注意事項注意:
即時掃描工作的最後四個欄位將報告為 N/A,因為在即時掃描期間,FSSP 對此資訊沒有存取權。

也可以將事件寫入稱為 VirusLog.txt 檔的文字檔案,該檔案位於 Microsoft Forefront Security for SharePoint 安裝路徑。若要啟用此功能,請選取 [一般選項] 中的 [啟用 Forefront 病毒記錄] (預設會停用)。此設定啟用時,系統會將所有的病毒事件寫入至 FSSP 安裝路徑 (InstalledPath) 下的 VirusLog.txt 文字檔案。

下列是 VirusLog.txt 檔案中的範例項目:

Wed Dec 14 12:56:13 2005 (3184), "資訊:即時掃描已發現病毒:

資料夾:WorkSpace1\SavedFiles

檔案:Eicar.com

事件:VIRUS=EICAR-STANDARD_AV_TEST_FILE

狀態:已清除"

下表說明 FSSP 報告的各種事件。大部份的報告事件是透過 [一般選項] 中的設定控制。

 

報告的事件 一般選項設定 描述

CorruptedCompressedFile

刪除損毀的壓縮檔案

Forefront 已刪除損毀的壓縮檔案。

EncryptedCompressedFile

刪除加密的壓縮檔案

Forefront 已刪除加密的壓縮檔案。

EngineLoopingError

不適用

Forefront 已刪除在掃描或嘗試清除檔案時,會導致在讀/寫迴圈中捕捉到掃描引擎的檔案。

ExceedinglyInfected

最大容器檔案感染

Forefront 已刪除容器檔案,因為該檔案超出 [一般選項] 的 [最大容器檔案感染] 中所設定的感染數上限。

ExceedinglyNested

最大巢狀壓縮檔案

Forefront 已刪除容器檔案,因為該檔案超出 [一般選項] 的 [最大巢狀壓縮檔案] 中所設定的巢狀深度上限。

ExceedinglyNested

最大巢狀檔案

Forefront 已刪除檔案,因為該檔案超出 [一般選項] 中有關「最大巢狀檔案」選項中所設定的巢狀檔案上限。預設值為 30 個檔案。如需相關資訊,請參閱SharePoint 登錄機碼中的<MaxNestedFiles>。

LargeInfectedContainerFile

最大容器檔案大小

Forefront 已刪除檔案,因為該檔案超出其將嘗試清除或修復的容器大小上限。預設值為 26 MB,但是您可以在 [一般選項] 中使用 [最大容器檔案大小] 選項來變更值。

ScanTimeExceeded

最大容器掃描時間 (毫秒) - 即時,或

最大容器掃描時間 (毫秒) - 手動

Forefront 已刪除容器檔案,因為它超出掃描時間上限。預設值 (以毫秒為單位) 為即時掃描 120000 毫秒 (2 分鐘),手動掃描 600000 毫秒 (10 分鐘)。

UnReadableCompressedFile

不適用

Forefront 已刪除無法讀取的壓縮檔案。

UnWriteableCompressedFile

不適用

Forefront 已刪除無法寫入的壓縮檔案 (例如,在清除作業期間)。

Forefront Security for SharePoint 會追蹤每個掃描工作的統計資料。系統會為文件維護數種統計資料。

  • 已掃描的文件 Forefront Security for SharePoint 自上次重新啟動服務後掃描的文件數目。

  • 已偵測到的文件 自上次重新啟動服務後掃描到的文件數目,這類文件則包含病毒或符合篩選。

  • 已清理的文件 Forefront Security for SharePoint 自上次重新啟動服務後清除的文件數目。

  • 已移除的文件 Forefront Security for SharePoint 自上次重新啟動服務後移除的文件數目([動作] 設為 [清除: 消除郵件])。

  • 已掃描的文件總數 Forefront Security for SharePoint 自安裝產品後所掃描的文件數目。

  • 已偵測到的文件總數 自安裝產品後掃描到的文件數目,這類文件則包含病毒或符合檔案或內容篩選。

  • 已清理的文件總數 Forefront Security for SharePoint 自安裝產品後所清除的文件數目。

  • 已移除的文件總數 Forefront Security for SharePoint 自安裝產品後所移除的文件數目。

若要重設掃描工作的所有統計資料,請在 [事件] 工作窗格的 [統計資料] 區段中,按一下掃描工作名稱旁邊的 [x]。系統將要求您確認重設。按一下 [是],重設所選掃描工作的所有統計資料。

若要將報告和統計資料儲存到文字檔案,請按一下 [匯出] 按鈕 (位於 [事件] 工作窗格上)。

Forefront Security for SharePoint 預設會以其原始格式,為每一個偵測到的檔案建立一個副本 (換言之,在發生 [清理]、[刪除] 或 [略過] 動作之前)。這些檔案會以編碼格式儲存在 Forefront Security for SharePoint DatabasePath 資料夾下的隔離資料夾 (預設為安裝資料夾)。偵測到的檔案的實際檔案名稱、感染病毒的名稱或檔案篩選名稱、檔案作者及前次修改檔案的人員相關資訊,以及其他書面資訊,都是儲存在隔離資料夾的 Quarantine.mdb 檔中。隔離資料庫是設定成名稱為 Forefront Quarantine 的系統資料來源名稱 (DSN)。您可以使用協力廠商工具來檢視及處理此資料庫。

系統管理員可以存取 [隔離] 窗格以刪除或解壓縮隔離的項目。若要檢視隔離記錄,請按一下快速導覽中的 [報告],然後按一下 [隔離] 圖示。隨即出現 [隔離] 工作窗格。

隔離清單會報告檔案的隔離日期、檔案名稱、觸發隔離的事件類型 (如病毒或篩選符合)、感染病毒的名稱或篩選名稱、作者名稱、作者電子郵件地址、最後修改者及修改的使用者電子郵件

使用 [隔離] 工作窗格的 [另存新檔] 按鈕,即可將選取的檔案卸離並解碼到磁碟。您可以從隔離清單選取多個項目,並且將每個項目都儲存成個別檔案。

使用 [隔離] 工作窗格的 [另存新檔] 按鈕,即可將選取的檔案卸離並解碼到磁碟。您可以從隔離清單選取多個項目,並且將每個項目都儲存成個別檔案。

這是 ExtractFiles 的語法:

extractfiles <path> <type>

  • <Path> 儲存解壓縮隔離檔案的資料夾絕對路徑。

  • <Type> 要解壓縮的隔離檔案類型。可以是特定的病毒名稱、特定副檔名,或所有隔離檔案。例如:

    Jerusalem.Standard:解壓縮已感染 Jerusalem.Standard 病毒的檔案。

    *.doc:解壓縮副檔名為 .doc 的隔離檔案。

    *.*:解壓縮所有隔離檔案。

範例:

extractfiles C:\temp\quarantine Jerusalem.Standard

extractfiles C:\extract\ *.doc

您也可以利用事件或隔離資料庫來執行其他幾項工作。您可以清除資料庫匯出資料庫項目清除資料庫項目篩選資料庫檢視移動資料庫

隨著時間的過去,您可能會發現事件及隔離資料庫變得非常龐大。每一個資料庫 (Incidents.mdb 及 Quarantine.mdb) 都有 2 GB 大小的限制。壓縮後,如果資料庫大於 1.5 GB,系統將會傳送通知給所有具備「病毒管理員」通知角色的成員,警告資料庫即將達到限制的大小。然後,系統管理員可以清除資料庫,以確保系統會儲存日後的事件及隔離項目。

郵件主旨列會顯示如下:

Microsoft Forefront Security for SharePoint 資料庫警告

郵件本文則會顯示如下:

Microsoft Forefront Security for SharePoint <<資料庫名稱>> 資料庫大於 1.5 GB (大小上限為 2 GB)。目前的大小為 x GB。

當資料庫大小增加至 2 GB 時,系統便不會更新 <<資料庫名稱>>。如需資料庫維護的相關資訊,請參閱使用者操作手冊。

如果因為某些原因而無法傳送通知,系統會略過該失敗,並將它記錄在程式記錄中,並於指定資料庫的每個壓縮循環期間,再次嘗試傳送郵件。

您可以清除成長得太大的事件資料庫。

清除事件資料庫
  1. 在快速導覽的 [報告] 區段上的 [事件] 工作窗格,按一下 [清除記錄檔]。此動作會清除 [事件] 工作窗格中的所有項目。系統會要求您確認您的決定。

  2. 在快速導覽的 [作業] 區段中,選取 [執行工作]。選取掃描工作,然後按一下 [清除記錄檔]。此動作會從 [事件] 工作窗格中清除工作的項目。系統會再次要求您確認您的決定。您必須個別清除所有掃描工作,讓所有項目標示為從資料庫刪除。

您清除了這兩個位置中的項目之後,它們就不會再出現在工作窗格中。不過,系統壓縮 Incidents.mdb 資料庫時,才會實際將這些項目從 Incidents.mdb 資料庫中刪除,系統於每天 0200 (2:00 A.M.) 自動執行刪除作業。

您也可以刪除結果的子集,方法是先選取一個或多個項目 (使用 SHIFTCTRL 鍵),然後按 DELETE 鍵,從兩個位置將其移除,如上所述。

注意事項注意:
如果您選取大量的項目,刪除程序可能需要很長的時間。在此情況下,系統會要求您確認刪除要求。

您可以清除成長得太大的隔離資料庫。

若要清除隔離資料庫,請在快速導覽的 [報告] 區段上,按一下 [隔離] 工作窗格上的 [清除記錄檔]。此動作會清除 [隔離] 工作窗格中的所有項目。系統會要求您確認您的決定。

清除項目後,它們就不會再出現在工作窗格中。不過,系統壓縮 Quarantine.mdb 資料庫時,才會實際將這些項目從 Quarantine.mdb 資料庫中刪除,系統於每天 0200 (2:00 A.M.) 自動執行刪除作業。

您也可以刪除結果的子集,方法是先選取一個或多個項目 (使用 SHIFTCTRL 鍵),然後按 DELETE 鍵,從隔離清單中將其移除。

注意事項注意:
如果您選取大量的項目,刪除程序可能需要很長的時間。在此情況下,系統會要求您確認刪除要求。

在 [事件] 或 [隔離] 工作窗格上按一下 [匯出],將事件或隔離資料庫的所有結果另存為文字檔案。按一下 [匯出] 時,系統會顯示標準的 Windows 儲存對話方塊,而您可以在此對話方塊中選取 Incidents.txt 或 Quarantine.txt 檔的位置。

除了 [匯出] 按鈕外,[隔離] 窗格還有 [另存新檔] 按鈕,可將選取的檔案卸離並解碼到磁碟。您可以從隔離清單選取多個項目,並且將每個項目都儲存成個別檔案。

您可以指示 Forefront Security for SharePoint,在指定的天數之後,移除資料庫中的項目。天數是透過 [事件] 及 [隔離] 工作窗格的 [清除] 欄位指示。每一個資料庫都可以有個別的清除值 (或完全沒有)。如果對資料庫啟用了清除功能,則所有比指定天數還要舊的檔案都會標示為要從資料庫中移除。

在特定天數後清除資料庫項目
  1. 在快速導覽的 [報告] 區段中,於 [事件] 或 [隔離] 工作窗格上,選取 [清除] 核取方塊。如此可讓 [日] 欄位變成可用欄位。

  2. 在 [日] 欄位中,指定經過幾天後清除項目。所有比指定天數舊的項目將從資料庫中刪除。預設值為 30 天。

  3. 按一下 [儲存]。只有在儲存後,設定或變更清除值才會生效。

若要暫停清除,請清除 [清除] 核取方塊。[日] 欄位中的值將保留,但必須重新選取 [清除] 才會進行清除。

您可以篩選事件或隔離檢視,即可只顯示某些項目。篩選對於資料庫本身而言是無效的,只對於要顯示的記錄有效。

篩選資料庫檢視
  1. 在 [事件] 或 [隔離] 工作窗格上,選取 [篩選] 核取方塊。

  2. 利用 [欄位] 選項選取您要檢視的項目。[欄位] 中的每個選項會對應到畫面中的其中一個欄位(例如,您能夠僅檢視狀態為「已刪除」的事件)。如果選取 [時間] (位於 [事件] 窗格) 或 [日期] (位於 [隔離] 窗格) 以外的任何欄位,則會出現 [值] 欄位。如果您選取 [時間] 或 [日期],則會出現開始日期與時間以及結束日期與時間的輸入欄位。

  3. 如果您選取了 [時間] 或 [日期],請輸入開始及結束日期與時間。否則請在 [值] 欄位中輸入字串。篩選的內容可以使用萬用字元。這些萬用字元就是 Microsoft Jet 資料庫 OLE DB 驅動程式所使用的萬用字元。萬用字元有:

    _ (底線)   符合任何單一字元(常用的萬用字元 * 和 ? 字元,是此執行個體中的常值)。

    [ ]   代表字集或範圍。符合指定字集 (例如,[abcdef]) 或範圍 (例如,[a-f]) 內的任何單一字元。

    [!]   代表否定字集或範圍。符合不在指定字集 (例如,[!abcdef]) 或範圍 (例如,[!a-f]) 內的任何單一字元。

  4. 按一下 [儲存] 以套用篩選。您現在只會看到符合參數的項目。

  5. 若要再次檢視所有項目,請清除 [篩選] 核取方塊,再按一下 [儲存] 來移除篩選。

您可以移動「隔離」及「事件」資料庫。然後,為了讓 FSSP 能夠正常運作,您必須移動這兩個資料庫,以及所有相關資料庫和支援檔案。

移動資料庫及所有相關檔案
  1. 在新的位置建立新的資料夾 (例如:C:\Moved Databases)。

  2. 設定新資料夾的權限:

    1. 在新資料夾上按一下滑鼠右鍵,然後選取 [內容]。

    2. 在 [安全性] 索引標籤上,新增包含 [完整控制權] 的 [網路服務]。

    3. 為 [系統管理員] 及 [系統] 啟用所有權限。

  3. 停止 SharePoint 及任何在 SharePoint 伺服器停止之後仍執行的 Forefront Security for SharePoint Services。

  4. 從 Microsoft Forefront Security\SharePoint 伺服器,將 Data 資料夾的整個內容 (包含子資料夾) 複製到步驟 1 所建立的資料夾 (例如,產生名為 C:\Moved Databases\Data 的資料夾)。

  5. DatabasePath 登錄機碼的路徑變更為指向新資料的資料夾位置。此機碼位於:

    32 位元系統:

    HKLM\SOFTWARE\Microsoft\Forefront Server Security\SharePoint\DatabasePath

    64 位元系統:

    HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\SharePoint\DatabasePath

  6. 重新啟動 SharePoint 服務。

Forefront Security for SharePoint 會將病毒偵測、停止碼、系統資訊及其他一般應用程式事件儲存在 Windows 應用程式記錄檔中。請使用 Windows 事件檢視器來存取記錄檔。

此外,這些事件儲存於 Microsoft Forefront Security\SharePoint 的 Data 子目錄中的 ProgramLog.txt。ProgramLog.txt 檔的大小上限是由 [一般選項] 中的 [最大程式記錄檔大小] 欄位所控制。

所有 Forefront Security for SharePoint 統計資料都可以使用 Windows 所提供的 [效能] 嵌入式管理單元 (Perfmon.exe) 予以顯示,而該嵌入式管理單元通常是位在 [系統管理工具] 中。效能物件稱為 Microsoft Forefront Server Security。

萬一您刪除了 Forefront Security for SharePoint 效能計數器,有兩種方法可以重新安裝:

  • 重新安裝 Forefront Security for SharePoint。

  • 從命令提示字元發出 PerfMonitorSetup

從命令提示字元重新安裝效能計數器
  1. 開啟 [命令提示字元] 視窗。

  2. 瀏覽到 Forefront Security for SharePoint 安裝資料夾 (預設為:C:\Program Files(x86)\Microsoft Forefront Security\SharePoint)。

  3. 輸入下列命令:PerfMonitorSetup –install

 
顯示: